Historien om Ransomware - 35 år av elände

I en ny essä tecknar Cisco Talos ransomwares dåtid, nutid och framtid. Bild: Cisco

Den 12 december äger en födelsedag rum som världen säkert helst hade sluppit högtidlighålla. Då är det 35 år sedan den första ransomware-attacken upptäcktes.

Cisco Talos, Ciscos avdelning för hotanalys och forskning, går i en ny essä om ransomwares dåtid, nutid och framtid, igenom den kostsamma bakgrundshistorien. Den inleds flera år innan internet blev tillgängligt för den breda allmänheten.

I december 1989 postade en person brev med disketter till 20 000 mottagare och precis som vid många av dagens cyberattacker var lockbetet kopplat till en av dåtidens stora nyhetshändelser – disketterna påstods innehålla en ny mjukvara som kunde avgöra om användaren löpte risk att utveckla AIDS.

Men programmet låste istället användarens dator och genererade ett meddelande där man uppmanades att skicka lösensumman via check till en postbox i Panama.

AIDS-trojan

Hur mycket pengar ”AIDS-trojanen” drog in förtäljer inte historien, men upphovsmannen identifierades och greps, och tillbringade ett antal år i fängelse. Idag är han avliden. Men under de årtionden som gått sedan dess har arvet efter hans verk kostat enorma summor.

Bara under 2023 rapporterades kriminella grupper och individer ha dragit in mer än tio miljarder kronor i lösensummor med hjälp av ransomware, enligt en rapport från advokatbyrån Fisher Phillips. Och kostnaderna för de verksamheter som drabbas är långt större än så.

”Ransomware är inte bara ett ekonomiskt brott och kostnaderna är mycket större än lösensumman. Kostnaderna för en drabbad verksamhet, både i förlorade intäkter och för att återställa skadorna kan bli enorma, och till det kommer förstås även risken att verksamheten tappar i förtroende hos kunder eller allmänhet, och det är skador som kan vara omöjliga att reparera. För privatpersoner som drabbas innebär det ofta stress och ångest, och i många fall går ovärdeliga privata data och minnen förlorade”, säger Henrik Bergqvist, cybersäkerhetsexpert på Cisco Sverige.

Storskaliga störningar

Från att riktat in sig mot privatpersoner är numera angriparna nästan helt inriktade på företag och organisationer – eftersom det där finns mer pengar att tjäna.

Under de senaste åren har flera storskaliga ransomware-attacker även påverkat svenskt näringsliv, offentlig verksamhet och medborgares vardag. Butikskedjan Coop tvingades stänga många butiker i flera dagar sommaren 2021 efter att ha drabbats av ett angrepp. Svenska Kyrkans IT-system låg nere i veckor vintern 2023 vilket bland annat ledde till att begravningar måste ställas in, och kommuner och regioner har upprepade gånger utsatts.

I januari i år ägde även ett ransomware-angrepp rum mot en stor nordisk IT-leverantör vilket störde verksamheten hos många av bolagets kunder.

Den första ”moderna” storskaliga ransomwareattacken kan spåras 20 år tillbaka i tiden, då ryska privatpersoner i december 2004 fick ett mejl med vad som uppgavs vara ett jobberbjudande men som istället innehöll skadlig programvara som krypterade datorns systemfiler.

Även om den kriminella verksamheten professionaliserats, och brottslingarna idag arbetar mer organiserat och använder kryptovalutor för att hålla sig dolda från myndigheter är metodiken och lockbetena än idag är snarlika de som användes i början av ransomware-historien.

”Människor är människor och cyberkriminella har genom åren varit oerhört skickliga på att få offer att klicka på något de inte borde ha klickat på, där de utnyttjar världshändelser, kändisar och våra rädslor och förhoppningar. I många högprofilerade fall har attacken föregåtts av ett stort researcharbete där man kartlagt enskilda personer baserat på deras närvaro i sociala medier. Här gör den snabba utvecklingen av AI och ’deepfake-teknologi’ det ännu lättare att snabbt och enkelt producera mer trovärdiga och personanpassade lockbeten”, säger Henrik Bergqvist.

Det finns ingen quick-fix

Samtidigt som ransomware-tekniken utvecklas gör förstås även motmedlen det. Nya och förbättrade säkerhetssystem – AI-förstärkta även de - som förkortar tiden till upptäckt, och mer motståndskraftiga IT-system som kan begränsa skador, gör att många attacker inte uppnår sina mål.

Lagstiftande myndigheter, underrättelsetjänster och polis har ett välfungerande internationellt samarbete för att spåra upp och krossa de mest framträdande cyberkriminella grupperna. Men för att ransomware inte ska vara en fråga som fortfarande debatteras om 35 år krävs fortsatt hårt arbete.

”Det finns ingen ’quick fix’ utan man måste gradvis arbeta på många plan för att göra ransomware mindre attraktivt. Bli snabbare på att uppdatera sårbar mjukvara, , bli bättre på back-up, och vara mer öppen och transparent när man drabbas av ett angrepp. Mörkertalet kring ransomware är fortfarande för stort och ju mer information som finns desto smartare och mer kraftfullt kan man agera och desto enklare blir det att öka medvetenheten och kunskapen”, säger Henrik Bergqvist.

Text: Cisco